- Millones de usuarios reciben correos masivos de restablecimiento de contraseña de Instagram sin haberlos solicitado, también en España y el resto de Europa.
- Meta niega un hackeo directo a sus sistemas, mientras que empresas como Malwarebytes apuntan a una filtración de 17,5 millones de cuentas con datos personales a la venta en la dark web.
- Los correos, aunque en muchos casos son legítimos, se están aprovechando para campañas de phishing y otros fraudes digitales.
- Los expertos recomiendan no hacer clic en enlaces de correos no solicitados, cambiar la contraseña desde la app, activar la verificación en dos pasos y revisar si tu correo ha sido filtrado.
Si en los últimos días has abierto tu correo y te has encontrado con uno o varios mensajes de Instagram pidiéndote que cambies la contraseña sin que tú lo hayas solicitado, no eres el único. Usuarios de España, de toda Europa y de otras partes del mundo están viendo cómo su bandeja de entrada se llena de avisos de restablecimiento de clave que, en apariencia, son totalmente legítimos.
La avalancha de correos masivos de restablecimiento de contraseña de Instagram ha disparado las alarmas por un posible hackeo a gran escala. Mientras buena parte de la comunidad de ciberseguridad habla de una filtración de datos que afectaría a unos 17,5 millones de cuentas, Meta —empresa matriz de Instagram— insiste en que no ha habido una brecha en sus sistemas y que las cuentas siguen seguras, aunque reconoce que un tercero consiguió activar este envío de emails.
Qué está pasando con los correos masivos de restablecimiento de contraseña
En cuestión de horas, miles de personas comenzaron a compartir en redes sociales capturas de los emails de “Reset your password” que estaban recibiendo sin haber pulsado en ningún sitio ni haber olvidado la contraseña. El formato de esos mensajes coincide con el de los correos oficiales de Instagram: texto estándar, botones para cambiar la clave y remitentes que, a simple vista, parecen auténticos.
Esta situación llevó a muchos usuarios a pensar en un hackeo masivo de cuentas o en un intento coordinado de robar accesos. La confusión aumentó cuando investigadores en seguridad vincularon la oleada de correos a una base de datos con 17,5 millones de perfiles de Instagram, que estaría circulando en foros de la dark web con datos personales asociados a cada cuenta.
Según varios análisis independientes, los correos de restablecimiento no serían simples mensajes falsos, sino solicitudes legítimas enviadas a través de los propios sistemas de Instagram, pero disparadas de forma automatizada por terceros. Es decir, alguien habría encontrado la forma de abusar del mecanismo habitual de recuperación de contraseña para inundar de avisos a millones de direcciones de correo.
En paralelo, medios especializados y herramientas de monitorización detectaron menciones crecientes a paquetes de datos de Instagram en espacios de compraventa de información robada. Este contexto ha hecho que muchos expertos vean el incidente no como un error aislado, sino como parte de una campaña más amplia para explotar información privada de usuarios.
La versión oficial de Meta: fallo técnico pero sin hackeo
Ante el revuelo, Meta salió a aclarar públicamente qué estaba ocurriendo. En un comunicado publicado en su cuenta oficial de X (antes Twitter), la compañía explicó que había resuelto un problema que permitía a un tercero solicitar correos de restablecimiento de contraseña para algunas personas.
Según la empresa, no se produjo una intrusión en sus sistemas ni un acceso no autorizado al interior de la plataforma. El mensaje fue tajante: “no ha habido ninguna vulneración de nuestros sistemas y las cuentas de Instagram están seguras”. De acuerdo con esta postura, los atacantes no consiguieron entrar en los servidores de Meta ni ver contraseñas o mensajes privados, sino que se limitaron a abusar de la función que envía los correos de seguridad.
La propia Instagram ha señalado que los usuarios pueden ignorar estos emails de restablecimiento no solicitados y ha pedido disculpas por la confusión generada. Eso sí, la compañía no ha aclarado públicamente quién es exactamente esa “parte externa” ni cómo consiguió automatizar el proceso de envío de los correos legítimos.
Este tipo de explicación no es nueva en el ecosistema de Meta. En episodios anteriores, como la exposición de datos de más de 500 millones de usuarios de Facebook que salió a la luz en 2021 —con millones de perfiles europeos y españoles afectados—, la empresa también habló de un uso indebido de sus herramientas (como el scraping) más que de un ataque directo a sus sistemas internos.
Esta vez, de nuevo, la compañía marca distancia con la idea de un “hackeo” clásico y presenta el problema como un fallo de software y un abuso de funciones legítimas, algo que, si bien es técnicamente distinto a una intrusión, no deja de generar inquietud entre los usuarios que están recibiendo decenas de correos que no han pedido.
Lo que dicen Malwarebytes y otros expertos en ciberseguridad
Mientras la versión oficial se centra en el “fallo técnico”, varias firmas de seguridad han dibujado un escenario mucho más preocupante. Malwarebytes, una de las empresas de referencia en el sector, ha asegurado que los correos masivos de restablecimiento están relacionados con un conjunto de datos de 17,5 millones de cuentas de Instagram que habría sido robado y estaría a la venta en espacios de la dark web.
De acuerdo con la información compartida por Malwarebytes y otros investigadores, esa base de datos incluiría nombres de usuario, direcciones de correo electrónico, números de teléfono y, en muchos casos, direcciones físicas. Es decir, no solo identificadores sueltos, sino detalles suficientes para vincular claramente la actividad online de una persona con su identidad real.
Algunas fuentes que han tenido acceso a estos archivos señalan que los datos se ofrecen en formatos JSON y TXT y que se estarían organizando por países, número de seguidores o tipo de cuenta. Esto permitiría a los delincuentes centrar esfuerzos en perfiles con alto impacto mediático o económico, como marcas, influencers, negocios locales o figuras públicas en España y otros países europeos.
Sobre el origen concreto de la filtración, no hay consenso total. Parte de la comunidad apunta a que la recopilación se habría producido mediante técnicas de scraping y un uso abusivo de APIs públicas, posiblemente desde 2022, y que los datos se habrían ido sumando en distintas tandas. Otros informes citan una vulnerabilidad en una API de Instagram detectada en 2024, que habría permitido extraer información masiva con menos restricciones.
Aunque en principio no se han encontrado contraseñas en texto plano en esos archivos, la combinación de correos, teléfonos y ubicaciones físicas es más que suficiente para alimentar campañas de phishing muy elaboradas, estafas financieras y casos de doxing dirigidos.
Qué datos podrían estar expuestos y por qué es tan preocupante
Los conjuntos de datos vinculados a este incidente no se limitan a nombres de usuario visibles en la app. Diversos análisis sugieren que incluyen direcciones de correo electrónico, números de teléfono y, en muchos casos, direcciones físicas completas o parciales, además de otros campos que ayudan a perfilar a cada persona.
Aunque Meta insista en que no hay evidencias de que sus servidores hayan sido comprometidos, la realidad es que, una vez que estos datos circulan por foros de cibercrimen, resulta difícil trazar con exactitud cómo se obtuvieron. Lo que sí está claro es que se trata de información muy atractiva para quien quiera lanzar ataques dirigidos contra usuarios concretos.
Con ese nivel de detalle, un ciberdelincuente puede enviar correos o SMS personalizados que imiten a la perfección las comunicaciones oficiales de Instagram. Basta con un asunto del tipo “Hemos detectado actividad sospechosa en tu cuenta” y un enlace que lleve a una página falsa muy parecida a la de inicio de sesión real para que una parte de los usuarios termine entregando su contraseña sin darse cuenta.
La presencia de direcciones físicas y datos de contacto adicionales lleva el problema más allá de lo puramente digital. Con esta información, se pueden orquestar campañas de doxing, chantaje o acoso que combinen la presencia online del usuario con su entorno real, algo especialmente preocupante para personas con un alto grado de exposición pública.
Además, al estructurar la base de datos por países o por número de seguidores, los atacantes pueden apuntar específicamente a cuentas europeas o españolas de alto perfil, optimizando el “retorno” de sus acciones. No se trata solo de spam masivo, sino de acciones más quirúrgicas y, por tanto, potencialmente más dañinas.
Por qué te llegan correos para cambiar la contraseña sin que tú los pidas
Más allá de la filtración, lo que el usuario percibe en su día a día es una cosa muy concreta: correos de restablecimiento de contraseña de Instagram que aparecen en su bandeja de entrada una y otra vez sin haber tocado nada en la app. ¿Qué está pasando para que ocurra esto?
Una de las hipótesis manejadas es la de un ataque automatizado que dispara solicitudes legítimas de restablecimiento desde los propios mecanismos de Instagram. Es decir, los atacantes estarían usando de forma masiva la función “¿Has olvidado tu contraseña?” asociada a direcciones de correo o nombres de usuario obtenidos en filtraciones anteriores.
En medio de este ruido de fondo —con mensajes legítimos llegando sin parar— resulta más fácil colocar correos falsos con enlaces maliciosos. El usuario, ya acostumbrado a ver continuamente avisos de seguridad, puede terminar pulsando en cualquier enlace sin revisar de dónde viene exactamente, lo que facilita el phishing.
Otra posibilidad, no excluyente, es que Instagram haya realizado cambios internos en sus sistemas de seguridad o en la forma de gestionar cuentas potencialmente comprometidas, lo que habría provocado un aumento en el envío de correos automáticos de verificación y restablecimiento. Meta, sin embargo, no ha dado detalles precisos de si ha habido este tipo de “reinicios defensivos” para ciertos perfiles.
Sea cual sea la explicación técnica final, los especialistas coinciden en un punto: si recibes un correo de restablecimiento que tú no has pedido, lo más prudente es no hacer clic en ningún enlace del mensaje y, si quieres cambiar la contraseña, hacerlo directamente desde la aplicación o la web oficial escribiendo la dirección en el navegador.
Cómo comprobar si tu correo o tu cuenta han podido verse afectados
La sensación de no saber si tus datos están en manos de terceros puede ser bastante incómoda, pero hay maneras de tener algo más de visibilidad. Distintas plataformas, entre ellas las promovidas por empresas como Malwarebytes, permiten ver si una dirección de correo electrónico ha aparecido en filtraciones conocidas.
El funcionamiento suele ser sencillo: introduces tu dirección de e-mail, la herramienta te envía un código de verificación al propio correo y, una vez validado, te indica si esa cuenta figura en bases de datos vinculadas a brechas de seguridad (incluida la que se atribuye a Instagram en este caso). De esta forma, puedes saber si hay indicios de que tu información ha circulado por ahí.
Si tu correo aparece como comprometido en alguna de estas bases, es recomendable actuar como si los datos relacionados estuvieran ya en manos de terceros. Eso incluye revisar no solo la cuenta de Instagram, sino también otros servicios donde uses la misma dirección o credenciales parecidas, y plantearte un cambio de contraseña en cadena.
Aun así, conviene tener en cuenta que no todas las filtraciones se indexan de inmediato en estas herramientas. Parte de la información se mueve primero en canales privados, foros cerrados o grupos restringidos, y puede tardar en hacerse visible para el público general. Que tu correo no aparezca hoy en ninguna base no significa necesariamente que estés a salvo para siempre.
Por esa razón, los expertos recomiendan mantener una actitud preventiva general: estar atento a correos inusuales que pidan datos personales, revisar con cierta frecuencia la actividad de inicio de sesión en tus redes sociales y servicios online, y desconfiar de los mensajes que generen urgencia o miedo como táctica para que actúes sin pensar.
Pasos básicos para proteger tu cuenta de Instagram ahora mismo
Más allá del debate sobre si ha habido o no una intrusión directa en los sistemas de Meta, hay una serie de medidas que puedes aplicar ya mismo para blindar tu cuenta de Instagram y reducir el impacto potencial de cualquier filtración de datos.
La primera recomendación es cambiar tu contraseña desde la propia app o desde la web oficial, nunca desde un enlace que llegue por correo. En la aplicación, el camino habitual pasa por: “Configuración y actividad” > “Centro de cuentas” > “Contraseña y seguridad” > “Cambiar contraseña”. Intenta que la clave sea larga, con letras mayúsculas y minúsculas, números y símbolos, y evita reutilizarla en otros servicios.
El siguiente paso casi obligado es activar la autenticación en dos pasos (2FA). Esta función añade un segundo factor de verificación, de forma que, incluso si alguien consigue tu contraseña, no podrá acceder a la cuenta sin un código adicional. Lo más recomendable es usar aplicaciones de autenticación (como Google Authenticator, Authy u otras similares) en lugar de depender solo de SMS, que son más fáciles de interceptar o desviar.
También es importante revisar las sesiones abiertas y cerrar aquellas que no reconozcas. En la configuración de seguridad de Instagram puedes ver desde qué dispositivos se ha iniciado sesión recientemente; si detectas algo raro, cierra esas sesiones y vuelve a cambiar la contraseña para mayor tranquilidad.
Otro punto clave es examinar qué aplicaciones de terceros tienen acceso a tu cuenta. Con el tiempo, es habitual haber dado permisos a herramientas que ya no usas —apps de filtros, servicios para estadísticas, gestores de publicaciones, etc.— y que, en un contexto de filtraciones, pueden convertirse en una puerta de entrada adicional a tus datos.
Por último, conviene desarrollar cierto “olfato” para detectar correos sospechosos: desconfía de cualquier mensaje que te pida introducir tu contraseña, datos bancarios o códigos de verificación, revisa con calma la dirección del remitente y, si algo no te cuadra, accede siempre a Instagram escribiendo la URL en el navegador o desde la app, nunca desde enlaces incluidos en el texto del correo.
Cómo distinguir entre un correo legítimo de Instagram y un intento de phishing
En un contexto donde estás recibiendo correos de restablecimiento, saber distinguir cuáles son auténticos y cuáles son un intento de engaño se vuelve fundamental. Aunque algunos de estos emails están siendo disparados por terceros, siguen pasando por los sistemas legítimos de la plataforma.
Un primer filtro es revisar la dirección exacta del remitente y los enlaces. Los correos legítimos suelen proceder de dominios oficiales de Instagram o Meta, mientras que los fraudulentos a menudo esconden pequeñas variaciones en el nombre de dominio o te redirigen a páginas que, al mirar bien la barra de direcciones, no son las oficiales.
Instagram, además, ofrece una función interna muy útil: en la sección de configuración de seguridad, hay un apartado llamado “Correos electrónicos de Instagram” donde puedes comprobar qué comunicaciones recientes ha enviado realmente la plataforma a tu cuenta. Si un mensaje que tienes en la bandeja de entrada no aparece en esa lista, hay bastantes probabilidades de que se trate de un intento de phishing.
Otro indicador es el tono del mensaje y la urgencia que transmite. Muchos correos fraudulentos buscan que actúes deprisa, con frases del tipo “tu cuenta será eliminada en 24 horas” o “último aviso antes de bloquear tu perfil”. Aunque Instagram puede avisarte de problemas de seguridad, lo habitual es que no recurra a ultimátums tan dramáticos.
En caso de duda, la recomendación de los expertos es clara: no hagas clic en nada dentro del correo y accede a tu cuenta por tus propios medios. Si de verdad hay un problema, verás notificaciones o avisos también dentro de la aplicación, no solo en el email.
Todo este episodio de cruce de versiones entre Meta y empresas de ciberseguridad, el cruce de versiones entre Meta y empresas de ciberseguridad y la posible filtración de 17,5 millones de cuentas ponen de nuevo el foco en lo frágil que puede ser la seguridad digital incluso en plataformas gigantes. Aunque la compañía defienda que no ha habido un hackeo directo a sus sistemas, la realidad para el usuario es que sus datos personales pueden estar circulando y que su correo se llena de avisos que no ha pedido. Ante este escenario, la opción más sensata pasa por reforzar contraseñas, activar la verificación en dos pasos, desconfiar de los enlaces que llegan por correo y aprovechar las herramientas disponibles para comprobar si tu información ha quedado expuesta, especialmente si vives en España o en otro país europeo donde estas campañas están teniendo un impacto notable.